（中职）交换机与路由器配置实验教程07第7章 安全配置实验电子教案.doc

（中职）交换机与路由器配置实验教程07第7章 安全配置实验电子教案第七章 安全配置实验随着网络技术的发展，现在面临的安全问题越来越严峻。网络必须保证其开放性和连接性才能成长并称之为网络，但现在必须高度重视网络的安全性，只有更安全的网络才能保证网络为人民服务，才能推动网络的发展，最终推动社会的发展和人类的进步，针对网络的安全问题，我们从网络设备的安全配置方面，介绍一些安全技术的实验。实验一 交换机端口安全交换机（包括路由器）的端口安全，就是对交换机的端口（接口）进行配置，主要包括限制端口的状态，允许或拒绝符合条件的访问，从而实现网络安全。一、实验概述大多数交换机都有端口安全配置，也就是对端口进行相应的设置，实现对网络设备的安全控制。端口的安全配置主要有以下三项：1、端口工作方式所谓端口工作方式，主要是在网络设备发展的时间渐进过程中形成的，一般分为单工、半双工、全双工，自动等工作模式。早期的端口，工作能力不行，只能发送，不能接收，称为单工。发送数据的时候不能同时接收，接收时不能发送称为半双工。现在的交换机一般都可以工作在全双工工作模式下，在两台设备之间同时可以接收和发送数据，使得工作能力增强。交换机端口工作方式的设置命令为：Duplex auto/full/half其中auto，表示端口的工作模式为自动协商模式，即交换机端口根据所连设备的速率来自动确定其工作速率。full，表示强制进入全双工模式。half，表示强制进入半双工模式。端口工作方式这个命令，在dynamips仿真软件上使用3640的iso做仿真是可以使用的。但以下两个功能（端口最大连接数和MAC（或IP）地址绑定）不能在仿真软件上实现，因为3640是cisco的一款路由器产品，在进行仿真时，一般是增加路由器网络模块：NM-4E4端口10bT以太网网络模块，实现路由器功能。增加交换机模块NM-16ESW16端口10/100快速以太网交换机网络模块，实现交换机功能。但这个交换机模块不支持以下两种端口命令。不过这两种功能比较简单，我们在此还是讲一下：2、端口最大连接数限制交换机端口的最大连接数，就是控制交换机某端口所能连接的计算机数量。因为端口可以级联下一级交换机（或集线器），下一级交换机又可以连接多台电脑。所以端口的最大连接数也可以很多。不同品牌或型号的交换机，默认允许的端口最大连接数不同，一般为100以上。假如人为设定交换机端口最大连接数为1，那么连接到该端口的设备只能是一个设备，如果一个设备建立了连接，其余设备将不能建立连接。命令：Swit port-security maximum valuevalue是最大连接数量。3、MAC（或IP）地址绑定为了增强交换机的端口安全，可以针对交换机进行端口地址的绑定，将接入设备的MAC地址或IP地址绑定到某端口，也可以MAC地址+IP地址双重绑定。绑定以后，不符合要求的设备将不能建立连接。命令：Swit port-security mac-address macadd或：swit port-security ip-address ipadd其中macadd和ipadd，指的是具体的MAC地址和IP地址。实验二 标准IP访问控制列表访问控制列表ACL（Access Control List），是一种安全技术，配置在路由器、三层交换机或防火墙上。简单说就是包过滤。通过设置可以允许（permit）或拒绝（deny）进入（in）或离开（out）路由器的数据包，对网络起到安全保护作用。ACL包含了一组安全控制和检查的命令，根据设定，指定哪些数据可以通过，哪些数据被拒绝，网管人员通过设置对网络中的数据包过滤，实现访问控制。一般是根据IP地址进行ACL。ACL分为标准IP访问控制列表和扩展访问控制列表，标准访问控制列表比较简单，只对数据包的源地址进行检查，其编号取值范围为199或13001999。命令格式，全局配置模式下：1、Access-list number permit|deny source-add source-wildcard其中number就是访问控制列表的号，其编号取值范围为199或13001999permit就是允许数据包通过，deny就是拒绝通过source-add就是允许或拒绝的源地址，source-wildcard就是通配符掩码。比如：acce-list 10 permit 10.0.0.0 0.0.0.255表示允许来自10.0.0.0/24网段的访问另外还可以用主机的IP地址来进行精确控制，其通配符为0.0.0.0：如：acce-list 10 permit 10.0.0.2 0.0.0.0表示允许10.0.0.2这个IP地址访问或：acce-list 10 permit host 10.0.0.2，也可以表达同一个意思。允许所有报文通过则用参数any： acce-list 10 permit any。我们再来看一个例子：Router（config）#acce-list 10 deny 10.0.0.2 0.0.0.0Router（config）#acce-list 10 permit any这两个命令的组合就是表示除了来自10.0.0.2的访问，其他的都允许。注意：ACL对每个数据包都以自上向下的顺序进行匹配，如果数据包满足第一个条件，就按规定执行，不满足就检测下一条，以此类推。一旦满足了匹配条件，相应操作就会执行，对数据包的检测也到此为止。因此过滤规则的顺序必须考虑，如上例中，一旦顺序颠倒，则允许所有报文通过，不能拒绝10.0.0.2了。2、定义访问控制列表作用于接口上的方向接口模式下，某一接口：Ip access-group number in|out！在某一接口上应用标识为number的访问控制列表，in|out，表示在入站端口调用还是在出站端口调用。所谓入站端口还是出站端口，是指以路由器为参考点，数据包是进入（in）还是离开（out）这个路由器本实验拓扑图如图7-9：图7-9 标准ACL实验拓扑图图中假设PC1为教师用机，PC2为学生用机，PC3代表互联网，出于安全考虑，要求教师机可以访问互联网，学生机则无法访问。拓扑编址：两个SW：没有Vlan，没有IP地址，不用设置 PC1IP：192.168.0.2/24，网关为R1上E0/1的IP PC2IP：192.168.1.2/24，网关为R1上E0/2的IP PC3IP：100.0.0.2/24，网关为R1上E0/0的IPR1：E0/1IP：192.168.0.1/24E0/2IP：192.168.1.1/24 E0/0IP：100.0.0.1/24用“show ace-list 10”命令查看标准访问控制列表的配置情况如下：R1#sh access-list 10Standard IP access list 1010 deny 192.168.1.0, wildcard bits 0.0.0.255 (30 matches)20 permit 192.168.0.0, wildcard bits 0.0.0.255 (10 matches)在路由器上运行“show run”，则可以查看到端口情况，如图7-10：图7-10 查看ACL配置信息在实际工作中，标准访问控制列表还可以和NAT，PAT等功能配合使用，提供更好的网络服务。删除访问控制列表命令是：no access-list number，number就是那个访问控制列表号。实验三 扩展IP访问控制列表标准访问控制列表只能对源地址进行检查，功能比较单一，远远不能满足网络的需要。扩展访问控制列表功能齐全，大大扩展了访问控制列表的应用范围。扩展访问控制列表除了可以对数据包的源地址进行过滤操作，还可以对数据包的源IP，目的IP，端口，协议等来定义访问控制规则。扩展IP访问控制列表的功能比较强大，可以根据协议或服务进行配置，如果要想对网络访问实现精确控制，就必须使用扩展访问控制列表。标准访问控制列表的编号取值范围为199或13001999。扩展访问控制列表的编号取值范围是100199或20002699。命令格式如下，全局配置模式下：Access-list number deny|permit protocol source-add source-wildcard operator port des-add des-wildcard operator port 其中：number是访问控制列表编号，deny表示拒绝，permit表示允许。 protocol表示协议，可以是IP、TCP、UDP、IGMP等协议。 source-add source-wildcard和 des-add des-wildcard表示源地址和目标地址以及它们的通配符掩码。 operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范围） port表示应用层端口号，比如www为80，ftp为20、21，telnet为23另外还可以用主机的IP地址来进行精确控制，其通配符为0.0.0.0。10.0.0.2 0.0.0.0和host 10.0.0.2意思一样都是表示IP地址为10.0.0.2的主机。也可以用any表示所有主机。例如：acce-list 110 permit tcp any 10.0.0.1 0.0.0.0 eq www表示允许任何主机的tcp报文到主机10.0.0.1 的www服务如：acce-list 110 deny tcp 100.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 20acce-list 110 deny tcp 100.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 21两条命令同时使用，表示拒绝100.0.0.0网段的主机访问10.0.0.0网段的任何ftp服务，由于ftp使用两个端口，20和21，最好同时关闭两个端口。扩展IP访问控制列表一般放在各类应用服务器的前端，对服务器上的各种应用起到安全保护作用。如图7-12图7-12 扩展ACL实验拓扑图图中表示一个学校网络状况，一台三层交换机连接各个主机，其中Vlan 10内都是教师用机，Vlan 30内都是学生用机，Vlan 20内放置学校服务器，现在要求学生机只能访问WWW服务，而不能访问FTP服务。教师机无限制。拓扑编址：SW1：Vlan 10 IP:10.0.0.1/24 Vlan 20 IP:20.0.0.1/24 Vlan 30 IP:30.0.0.1/24 PC1IP：10.0.0.2/24，网关为Vlan 10的IP PC2IP：10.0.0.3/24，网关为Vlan 10的IP PC3IP：20.0.0.2/24，网关为Vlan 20的IP PC4IP：20.0.0.3/24，网关为Vlan 20的IP PC5IP：30.0.0.2/24，网关为Vlan 30的IP PC6IP：30.0.0.3/24，网关为Vlan 30的IP这个实验中，我们规定把WWW服务器和FTP服务器放在同一个主机PC3上，如果服务器分别放置在两个主机上，用标准访问控制列表也可以做了，失去了实验的意义。删除扩展访问控制列表命令和删除标准访问控制列表一样也是：no access-list number，number就是那个访问控制列表号。使用“sh access-list ”命令，可以查看扩展访问控制列表的配置情况，如图7-14：图7-14 查看扩展ACL配置但是需要注意，在虚拟机PC5上用Ping命令访问PC3仍然是可以Ping通的，因为这个访问控制列表并不能拒绝连通，反而因为需要访问WWW服务必须要连通，因此在用Dynamips仿真机做这个实验时配合用虚拟电脑就不能真实的反应扩展访问控制列表的应用了。实验四 配置命名访问控制列表所谓命名访问控制列表其实是对访问控制列表的命名使用。相对于标准ACL或扩展ACL都没有本质差别。原本不管是标准访问控制列表还是扩展访问控制列表都是用编号来加以区分。编号就是命令格式中的那个number。标准访问控制列表的编号取值范围为199或13001999。扩展访问控制列表的编号取值范围是100199或20002699。命名ACL不使用编号而使用字符串来对访问控制列表进行命名，命名后，路由器进入“访问控制列表”模式，在此模式下可以对访问控制列表进行设置，在网络管理过程中可以随时根据网络变化修改某一条规则，调整用户访问权限。命名ACL也分标准和扩展两类。一、标准命名ACL语法格式如下：（1）Ip access-list standard name ！定义标准命名ACL，standard是标准的意思，name是ACL的名称，不用number号码了（2）Deny source-add source-wildcard 或者Permit source-add source-wildcard ！定义允许或拒绝的源地址和通配符掩码（3）Ip access-group name in|out ！接口模式下，定义访问控制列表作用于接口上的方向（4）show access-list name ！显示配置的ACL，不加name表示显示全部ACL内容。二、扩展命名ACL语法格式如下：（1）ip access-list extended name ！extended表示扩展的（2）deny|permit protocol source-add source-wildcard operator port des-add des-wildcard operator port deny表示拒绝，permit表示允许。protocol表示协议，可以是IP、TCP、UDP、IGMP等协议。source-add source-wildcard和 des-add des-wildcard表示源地址和目标地址以及它们的通配符掩码。operator 表示操作符可以是eq（等于）、neq（不等于）、或range（范围）port表示应用层端口号，比如www为80，ftp为20、21，telnet为23参数和扩展IP访问控制列表的意义相同。（3）Ip access-group name in|out ！接口模式下，定义访问控制列表作用于接口上的方向（4）show access-list name ！显示配置的ACL，不加name表示显示全部ACL内容。（5）no access-list name ！删除访问控制列表采用命名ACL会进入一个新的命令行模式，我们称之为命名ACL模式：1、标准命名ACLSW1(config)#ip access-list standard deny-host ！deny-host为名字SW1(config-std-nacl)# ！表示进入标准命名ACL2、扩展命名ACLSW2(config)#ip access-list extended permit-host ！permit-host为名字SW2(config-ext-nacl)# ！表示进入扩展命名ACL因为命名ACL的命令方式和前面实验二、三非常相似，我们仅用标准命名ACL做一个实验，扩展命名ACL请同学们自己设计。另外，我们也会在本章下一个实验，实验五中用到扩展命名ACL。拓扑图，如图7-15：图7-15 标准命名ACL实验拓扑图PC1为学校办公网，连接到一台三层交换机SW1的F0/1端口。PC2为学生用机，放在Vlan 10内。需要在三层交换机上做标准命名ACL，禁止学生机访问学校办公网拓扑编址：SW1：Vlan 10 IP:192.168.0.1/24 F0/1IP：172.18.0.1/24 PC1IP：172.18.0.2/24，网关为SW1上F0/1的IP PC2IP：192.168.0.2/24，网关为Vlan 10的IP在SW1上需要把F0/1升级为三层接口才能配置IP地址。在SW1和SW2上都要创建Vlan，SW1和SW2之间的链路应为Trunk链路。实验五 基于时间的IP访问控制列表基于时间的IP访问控制列表也是为了实现对网络的访问控制。其实基于时间控制网络有很多种方法，可以通过软件或操作系统来控制。但是在路由器上进行应该比较方便，而且安全性高。基于时间的IP访问控制列表是在访问控制中加入时间范围来更合理的控制网络访问。通过基于时间的访问控制列表，可以根据一天中的不同时间，或根据一个星期中的不同日期，或两者的结合，控制对数据包的转发，从而实现对网络访问的控制。命令格式：1、首先必须校正时间，先用show clock命令查看当前时钟，再用clock set设定。例如：R1#sh clock*01:59:43.711 UTC Fri Mar 1 2002 ！现在路由器时间是2002年3月1日，其中星期五是自动生成的，不可随意调整。R1#clock set 12:00:00 1 jul 2010 ！设定时间为2010年，7月1日，8点整。设定好后查看：R1#sh clock12:01:38.435 UTC Thu Jul 1 2010 ！星期四是自动生成的各种月份对应关系：月份 英文简写 英文全称 一月 Jan. January 二月 Feb. February 三月 Mar. March 四月 Apr. April 五月 May. May 六月 Jun. June 七月 Jul. July 八月 Aug. Auguest 九月 Sep. September 十月 Oct. October 十一月 Nov. November 十二月 Dec. December2、定义时间范围命令格式为：R1(config)#time-range time-range-name ！进入时间控制模式R1(config-time-range)#absolute start begin-time end end-timeR1(config-time-range)#periodic timeweek其中：time-range-name表示定义时间范围的名称，以便在后面ACL时调用absolute可以用来定义时间范围，start后面begin-time表示开始时间，end后面end-time表示结束时间periodic后面定义一个时间范围：timeweek。它后面的参数有：monday 星期一 tuesday 星期二 wednesday 星期三 thursday 星期四 friday 星期五 saturday 星期六 sunday 星期日 daily 每天weekdays 周一至周五weekend 星期六和星期日下面通过几个例子加以说明（重要）：absolute start 08:00 end 18:00 ！表示每天从早8点到下午6点absolute start 08:00 2 jan 2009 end 23:59 31 dec 2010 ！表示从2009年1月2日上午8点到2010年12月31日23点59分periodic weekday 06:00 to 20:00 ！表示工作日的早6点至晚8点periodic Monday 07:00 to Saturday 19:00 !表示从周一至周六的早7点至晚7点在输入命令时，可以用“？”命令和“Tab”键补全命令获得帮助（重要）。例如：R1(config-time-range)#absolute start ? hh:mm Starting timeR1(config-time-range)#absolute start 00:00 ? <1-31> Day of the monthR1(config-time-range)#absolute start 00:00 01 ? MONTH Month of the year eg: Jan for January, Jun for JuneR1(config-time-range)#absolute start 00:00 01 jan ? <1993-2035> YearR1(config-time-range)#absolute start 00:00 01 jan 2010R1(config-time-range)#absolute start 00:00 01 jan 2010 end 23:59 ? <1-31> Day of the month3、定义ACLACL的使用方式和前面讲的没有什差别，主要是在命令最后要增加按时间要求的命令：time-range time-range-name，就是前面定义过的时间范围。例如：R1(config)#ip access-list extended deny-host !定义扩展命名访问控制列表名称为deny-hostR1(config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255 time-range host ！前面定义过一个名称为host的时间范围。4、将访问控制列表应用到端口和前面介绍的ACL一样，不再重复。基于时间的ACL一般放在各类服务器的前端，为各类服务器起到安全保护作用，如图7-17：图7-17 基于时间ACL实验拓扑图图7-17中PC1代表WWW服务器，PC2代表FTP服务器，PC3为普通PC，和PC1、PC2同网段，PC4代表学生用机。现要求PC4在2010年1月1日0点到2010年12月31日晚24点这一年中，只能在周一至周五的上午8点至晚8点允许访问WWW服务器PC1，只能在周一至周六上午9点至晚7点访问FTP服务器。拓扑编址： SW1：没有Vlan，没有IP地址，不用设置PC1IP：192.168.0.2/24，网关为R1上E0/0的IP PC2IP：192.168.0.3/24，网关为R1上E0/0的IP PC3IP：192.168.0.4/24，网关为R1上E0/0的IP PC4IP：10.1.1.2/24，网关为R1上E0/1的IPR1：E0/0IP：192.168.0.1/24E0/1IP：10.1.1.1/24本章命令总结如表7-1：命令作用Duplex auto/full/half配置交换机端口工作属性Swit port-security打开交换机的端口安全功能Swit port-security maximum value设置交换机接口最大连接数Swit port-security mac-address macadd端口mac地址绑定swit port-security ip-address ipadd端口IP地址绑定Show mac-address-table显示mac地址表Show access-list查看IP访问控制列表Access-list 定义访问控制列表Ip access-group在接口上应用ACLNo access-list删除ACLIp access-list standard定义标准命名ACLDeny/permit定义拒绝或允许的源地址和通配符掩码Ip access-list extended定义扩展命名ACLClock set设置路由器时间Show clock查看路由器时间Time-range进入时间控制模式absolute start begin-time end end-time定义时间列表periodic time week定义时间列表表7-1本章命令汇总实训项目二一 标准IP访问控制列表创建图7-9实验环境，完成第七章实验二。理解访问控制列表的概念，学会配置标准IP访问控制列表。实训项目二二 扩展IP访问控制列表创建图7-12实验环境，完成第七章实验三。在学会标准IP访问控制列表的基础上，掌握扩展IP访问控制列表。*实训项目二三（选做）命名访问控制列表创建图7-15实验环境，完成第七章实验四。学会命名ACL，更好的理解和掌握ACL的概念的配置步骤。*实训项目二四（选做）基于时间的IP访问控制列表创建图7-17实验环境，完成第七章实验五。更高级的内容，对于更好的管理网络，和实现网络安全都有重要意义。感谢您的支持与使用如果内容侵权请联系删除仅供教学交流使用12